Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- wab.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\belizerens\anisosepalous\dagbrkninger\kolorimetri.she17
- %TEMP%\belizerens\anisosepalous\dagbrkninger\stencilling.ass243
- %TEMP%\belizerens\anisosepalous\dagbrkninger\krigssituationens.mla
- %TEMP%\belizerens\anisosepalous\dagbrkninger\oproerer\mimicking107.txt
- %TEMP%\belizerens\anisosepalous\dagbrkninger\oproerer\bufferer.ark
- %TEMP%\belizerens\anisosepalous\dagbrkninger\oproerer\communises.can
- %TEMP%\belizerens\anisosepalous\dagbrkninger\oproerer\<Имя файла>.exe
Сетевая активность
Подключается к
- 'z1########70k.ps02.zwhhosting.com':80
TCP
Запросы HTTP GET
- http://z1########70k.ps02.zwhhosting.com/GNqBmktuMIuytyf140.bin
UDP
- DNS ASK z1########70k.ps02.zwhhosting.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle minimized " $nephelite=Get-Content '%TEMP%\belizerens\Anisosepalous\dagbrkninger\Stencilling.Ass243';$Kurrajong=$nephelite.SubString(56568,3);.$Kurrajong($nephelite)"
- '%ProgramFiles(x86)%\windows mail\wab.exe'
